Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Hesabınız var mı?

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Hesabınız yok,

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Hesabınız var mı?

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Yeni hesap açmak için,

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın
Ara
Flood Gir
Ana sayfa> web Developer>HTTP Önbelleğini güncelleyerek güvenliği ve gizliliği iyileştirin

Güncel Floodlar En sonuncu Nesne

Açık: 15 Temmuz 2023 web Developer içinde yayınlandı Yorumlar: 0 Görüntüleme: 4

HTTP Önbelleğini güncelleyerek güvenliği ve gizliliği iyileştirin

HTTP Önbelleğini güncelleyerek güvenliği ve gizliliği iyileştirin

Varsayılan olarak, kaynakların her tür önbellek tarafından önbelleğe alınmasına her zaman izin verilir. kullanmamak veya kötüye kullanmamak Cache-Control başlığı, web sitenizin güvenliğini ve kullanıcılarınızın gizliliğini olumsuz etkileyebilir.

Gizli tutmak istediğiniz kişiselleştirilmiş yanıtlar için aşağıdakilerden birini yapmanızı öneririz:

  • Aracıların kaynağı önbelleğe almasını önleyin. Ayarlamak Cache-Control: private.
  • uygun bir ayarla ikincil önbellek anahtarı. Çerezler nedeniyle yanıt değişirse (ki bu, çerez kimlik bilgilerini sakladığında gerçekleşebilir) Vary: Cookie.

Bunun neden önemli olduğunu öğrenmek ve keşfetmek için okumaya devam edin:

  1. Farkında olmayabileceğiniz güvenlik ve gizlilik sorunları
  2. Farklı HTTP önbellek türleri ve yaygın yanlış anlamalar
  3. Yüksek değerli web siteleri için önerilen işlemler

Spectre güvenlik açıklarından sızdıran kaynaklar #

bu Spectre güvenlik açığı bir sayfanın bir işletim sistemi işleminin belleğini okumasına izin verir. Bu, bir saldırganın kaynaklar arası verilere yetkisiz erişim elde edebileceği anlamına gelir. Sonuç olarak, modern web tarayıcıları, bazı özelliklerinin kullanımını kısıtlamıştır; SharedArrayBuffer veya yüksek çözünürlüklü zamanlayıcı— kaynaklar arası izolasyona sahip sayfalara.

Modern web tarayıcıları zorlar Kaynaklar Arası Yerleştirme Politikası (COEP). Bu, kaynaklar arası kaynakların şunlardan biri olmasını sağlar:

  • Çerezler olmadan talep edilen genel kaynaklar
  • Kaynaklar arasında, CORS veya ŞİRKET başlık

COEP kurulumu, bir saldırganın Spectre’den yararlanmasını engellemez. Ancak, kaynaklar arası kaynakların saldırgan için değerli olmamasını (tarayıcı tarafından genel kaynak olarak yüklendiğinde) veya saldırganla paylaşılmasına izin verilmemesini (paylaşıldığında) sağlar. CORP: cross-origin).

HTTP önbelleğe alma Spectre’ı nasıl etkiler? #

Eğer Cache-Control başlık düzgün ayarlanmamışsa, bir saldırgan saldırı gerçekleştirebilir. Örneğin:

  1. Kimlik bilgisi verilen kaynak önbelleğe alınır.
  2. Saldırgan, kaynaklar arası yalıtılmış bir sayfa yükler.
  3. Saldırgan kaynağı yeniden ister.
  4. COEP:credentialless tarayıcı tarafından ayarlanır, böylece kaynak çerezler olmadan alınır. Ancak, bir önbellek bunun yerine kimlik bilgileri verilen yanıtı döndürebilir.
  5. Saldırgan daha sonra bir Spectre saldırısı kullanarak kişiselleştirilmiş kaynağı okuyabilir.

Bir web tarayıcısının HTTP önbelleği pratikte bu tür bir saldırının gerçekleşmesine izin vermese de, tarayıcının doğrudan kontrolü dışında ek önbellekler mevcuttur. Bu, bu saldırının başarısına yol açabilir.

HTTP önbellekleriyle ilgili yaygın yanılgılar #

1. Kaynaklar yalnızca tarayıcı tarafından önbelleğe alınır #

Genellikle birden çok önbellek katmanı vardır. Bazı önbellekler tek bir kullanıcıya, bazıları ise birden çok kullanıcıya ayrılmıştır. Bazıları sunucu tarafından, bazıları kullanıcı tarafından ve bazıları aracılar tarafından kontrol edilir.

  • tarayıcı önbellekleri. Bu önbellekler, web tarayıcılarında uygulanan tek bir kullanıcıya aittir ve ona tahsis edilmiştir. Aynı yanıtı birden çok kez almaktan kaçınarak performansı artırırlar.
  • Yerel proxy. Bu, kullanıcı tarafından yüklenmiş olabilir, ancak aracılar tarafından da yönetilebilir: şirketleri, kuruluşları veya internet sağlayıcıları. Yerel proxy’ler genellikle birden çok kullanıcı için tek bir yanıtı önbelleğe alır ve bu da “genel” bir önbellek oluşturur. Yerel proxy’lerin birden fazla rolü vardır.
  • Kaynak sunucu önbelleği / CDN. Bu, sunucu tarafından kontrol edilir. Origin sunucusu önbelleğinin amacı, birden fazla kullanıcı için aynı yanıtı önbelleğe alarak kaynak sunucu üzerindeki yükü azaltmaktır. Bir CDN’nin hedefleri benzerdir, ancak tüm dünyaya yayılmış ve gecikmeyi azaltmak için en yakın kullanıcı grubuna atanmıştır.
Tarayıcı ve sunucu arasında çeşitli önbellek katmanları olabilir. Örneğin, bir sunucu önbelleği, ardından bir CDN ve tarayıcı önbelleği ile karşılaşabilirsiniz. CDN ve tarayıcı önbelleği arasında yerel bir proxy kurulumu da olabilir.

2. SSL, aracıların HTTPS kaynaklarını önbelleğe almasını engeller #

Birçok kullanıcı, erişim amaçları (ölçülü bir bağlantıyı paylaşmak gibi), virüs denetimi veya veri kaybını önleme (DLP) amaçları için düzenli olarak yerel olarak yapılandırılmış proxy’ler kullanır. Aracı önbellek çalışıyor TLS müdahalesi.

Bir şirket çalışanının iş istasyonlarına genellikle bir aracı önbellek kurulur. Web tarayıcıları, yerel proxy sertifikalarına güvenecek şekilde yapılandırılır.

Sonuç olarak, bazı HTTPS kaynakları bu yerel proxy’ler tarafından önbelleğe alınabilir.

HTTP önbelleği nasıl çalışır? #

  • kaynaklar dolaylı olarak varsayılan olarak önbelleğe alınmasına izin verilir.
  • bu birincil önbellek anahtarı URL ve yöntemden oluşur. (URL, yöntem)
  • bu ikincil önbellek anahtarı başlıklar dahil mi Vary başlık. Vary: Cookie yanıtın şunlara bağlı olduğunu gösterir: Cookie.
  • bu Cache-Control başlık daha ince taneli kontrol sağlar.

Yüksek trafiğe sahip web siteleri ve kişisel tanımlayıcı bilgilerle etkileşime giren web siteleri dahil olmak üzere yüksek değerli web sitelerinin geliştiricileri, güvenliği artırmak için hemen harekete geçmelidir.

En büyük risk, bir kaynağa erişim tanımlama bilgilerine bağlı olarak değiştiğinde ortaya çıkar. Bir aracı önbellek, herhangi bir önleyici tedbir alınmadığı takdirde verilmeyen bir talep için tanımlama bilgileriyle talep edilen bir yanıtı döndürebilir.

Aşağıdaki adımlardan birini uygulamanızı öneririz:

  • Aracıların kaynağı önbelleğe almasını önleyin. Ayarlamak Cache-Control: private.
  • uygun bir ayarla ikincil önbellek anahtarı. Çerezler nedeniyle yanıt değişirse (ki bu, çerez kimlik bilgilerini sakladığında gerçekleşebilir) Vary: Cookie.

Özellikle, varsayılan davranışı değiştirin: her zaman tanımlayın Cache-Control veya Vary.

Ek hususlar #

HTTP önbelleğini kullanan benzer başka saldırı türleri de vardır, ancak bunlar çapraz kaynak izolasyonundan farklı bir mekanizmaya dayanır. Örneğin, Jake Archibald bazı saldırıları anlatıyor. CORS’ta nasıl kazanılır?.

Bu saldırılar, kaynak yanıtının kimlik bilgileriyle istenip istenmediğine bağlı olarak HTTP önbelleğini bölen bazı web tarayıcıları tarafından hafifletilir. 2022 itibariyle, Firefox önbelleği bölerken Chrome ve Safari bölmez. Krom önbelleği bölebilir gelecekte. Bu saldırıların farklı ve tamamlayıcı olduğunu unutmayın. üst düzey orijine göre bölme.

Bu sorun web tarayıcıları için azaltılabilse bile, sorun yerel proxy önbelleklerinde kalacaktır. Bu nedenle, yine de yukarıdaki önerileri uygulamanızı öneririz.

Başlık fotoğrafı: Ben Pattinson Açık Unsplash.

önceki makale
Sonraki makale

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.

Yeni hesap açmak için,